Wie man seinen Rechner von Viren befreit

Inhalt

1. Rechner aus!

Fahren Sie den Rechner sofort herunter und verwenden Sie die darauf installierten Betriebssysteme nicht mehr!

Sobald der Rechner ausgeschaltet ist, kann erst einmal kein weiterer Schaden mehr entstehen und Sie können in Ruhe Ihr weiteres Vorgehen überlegen.

2. Was man nicht machen sollte

2.1. In Panik geraten

Manchmal verliert man ein wenig den Kopf, wenn man mit einer ungewohnten und kritischen Situation konfrontiert wird. Doch jetzt überstürzt zu handeln, würde mit großer Wahrscheinlichkeit alles nur noch verschlimmern. Wenn der Rechner aus ist, haben Sie alle Zeit der Welt. Also nehmen Sie sie sich. Gehen Sie ruhig und überlegt vor.

2.2. Desinfektionsprogramme benutzen

Benutzen Sie keine Programme, die Ihnen versprechen, den Rechner ohne großen Aufwand desinfizieren zu können. Sogenannte Removal-Tools können nicht funktionieren, jedenfalls nicht zuverlässig. Damit spielen Sie nur russisches Roulette.

2.3. Betroffene Dateien von Hand löschen

Das ist letztlich das gleiche wie der vorherige Punkt, nur dass man es dieses Mal kein Programm machen lässt, sondern selbst von Hand durchführt. Anleitungen aus dem Internet, die versprechen, einen bestimmten Schädling könne man entfernen, indem man hier etwas löscht und dort einen Eintrag ändert, sind genauso (un)zuverlässig wie Desinfektionsprogramme.

2.4. Den betroffenen Rechner weiter verwenden

Sie müssen davon ausgehen, dass der Rechner nicht mehr unter Ihrer Kontrolle steht. Solange das installierte Betriebssystem läuft, kann der Schädling weitere Schäden anrichten. Wenn der Rechner außerdem noch mit dem Internet verbunden ist, können andere durch Ihren Rechner geschädigt oder belästigt werden.

Wenn Sie keinen Zweitrechner haben, auf dem Sie die nötigen Vorarbeiten (und auch die Lektüre dieses Textes) vornehmen können, versuchen Sie, sich einen auszuleihen oder klingeln Sie doch mal mit einer Packung Bier beim hilfsbereiten Nachbarn oder Arbeitskollegen. Im schlimmsten Fall ist das Internetcafe immer noch besser als Ihr infizierter Rechner.

3. Keine Beweise vernichten, die man noch braucht

Falls Anzeige erstattet und/oder eine Versicherungspolice in Anspruch genommen werden soll, müssen Sie jetzt mit Maßnahmen zur Beweissicherung beginnen. Dazu konsultieren Sie am besten einen spezialisierten Fachanwalt. Dieser wird die weiteren Schritte mit Ihnen festlegen.

Fahren Sie in diesem Fall nicht mit dieser Anleitung fort.

Die weiteren Schritte dieser Anleitung werden alle Beweise für eine Infektion Ihres PCs vernichten! Führen Sie sie nur aus, wenn Sie sicher sind, sie nicht mehr zu brauchen.

Auch wenn Sie später eine interne Sicherheitsanalyse machen wollen, um zu klären, wie es zu der Infektion kommen sollte, müssen Sie nun eine vollständige Sicherung des infizierten Systems vornehmen. Das wird hier allerdings nicht behandelt, da sich dieser Artikel an normale und ggf. unerfahrene Heimanwender richtet. Wer eine Sicherheitsanalyse braucht, braucht mich nicht um ihm zu sagen, wie er sie machen muss.

4. Netzwerkverbindungen trennen

Entfernen Sie sicherheitshalber alle Netzwerkkabel und halten Sie den Rechner während der folgenden Schritte aus dem Internet und anderen, nicht vertrauenswürdigen Netzwerken fern. Verbinden Sie den Computer erst wieder mit dem Internet, wenn diese Anleitung Sie explizit dazu auffordert!

5. Booten von einem Rettungssystem

Besorgen Sie sich ein sauberes, auf Linux basierendes Rettungssystem, das von CD oder einem USB-Stick starten kann (z.B. Knoppix oder die System Rescue CD). Die genauen Anweisung für das Erstellen eines startfähigen Medium entnehmen Sie bitte der Dokumentation des entsprechenden Produkts.

Erstellen Sie ein solches bootfähiges Medium und starten Sie den betroffenen Rechner davon.

6. Persönliche Daten sichern

Falls Sie keine aktuelle Datensicherung haben, binden Sie die Festplatte(n) Ihres PCs ein und kopieren Sie alle Dateien, die Sie noch benötigen, auf ein Rettungsmedium, beispielsweise einen USB-Stick. Hängen Sie die Partitionen dann wieder aus und entfernen Sie das Sicherungsmedium.

7. Festplatten vollständig löschen

Überschreiben Sie alle Festplatten komplett mit Nullen. Der Befehl:

  fdisk -l 

zeigt die Kennungen aller Festplatten an (z.B. /dev/sda, /dev/sdb, usw. oder auch /dev/hda, /dev/hdb usw.). Die Ziffern hinter den Kennung sind die Partition auf den Platten. Falls Sie von einem USB-Stick gebootet haben, wird der ebenfalls als Festplatte angezeigt werden. Anhand der Daten wie Größe, Anzahl der Partitionen, etc. können Sie recht gut erkennen, welche Platte welche ist.

Der folgende Befehl löscht alle Daten auf der angegebenen Platte! Wenn Sie noch etwas sichern wollen, müssen Sie das vorher erledigen. Danach sind die Daten unwiederbringlich verloren!

Für jede dieser Platten geben Sie nun ein:

  dd if=/dev/zero of=/dev/sda 

wobei /dev/sda sukkzessive durch die Kennungen der Platten ersetzt wird. Der Befehl wird die Festplatten komplett überschreiben und alle darauf befindlichen Daten löschen. Den Bootsektor und eventuelle Bootsektorviren mit eingeschlossen. Das kann je nach Größe der Platten eine ganze Weile dauern, während der scheinbar nichts weiter passiert. Lassen Sie sich nicht davon irritieren.

8. Betriebsystem neu einspielen

Installieren Sie das Betriebssystem von den Originalmedien des Herstellers neu. Folgen Sie dazu ggf. den Anleitungen, die dieser Hersteller Ihnen anbietet.

9. Betriebssystem aktualisieren

Installieren Sie dann alle aktuellen Sicherheitspatches und Updates, die für Ihr Betriebssystem zur Verfügung stehen. Falls nötig, laden Sie sich diese erst auf einem anderen PC herunter. Für Windows-Nutzer ist das Projekt WSUS Offline Update sehr interessant. Damit können Sie sich auf einem sauberen Internetrechner einen USB-Stick oder eine DVD erstellen lassen, die alle aktuellen Updates für Windows und Office beinhaltet und sich mit wenigen Klicks vollautomatisch auf dem neu eingerichteten PC installieren lässt.

10. Betriebssystem konfiguieren

Konfigurieren Sie Ihr neu installierten Betriebssystem nach aktuellen Sicherheitsstandards. Schließen Sie offene und nicht benötigte Ports, richten Sie ein Benutzerkonto mit beschränkten Rechten für die tägliche Arbeit ein, etc.

11. Anwendungen installieren und updaten

Jetzt können Sie den Rechner wieder mit dem Internet verbinden, Ihre restlichen Anwendungsprogramme installieren und auch diese auf den neusten Stand bringen.

Verwenden Sie auch hier ausschließlich die Originalmedien des Herstellers oder vertrauenswürdige Internetquellen.

12. Gesicherte Daten wieder einspielen

Nun können Sie Ihre vorher abgesicherten Daten wieder auf das frische System einspielen.

Beachten Sie, dass diese Daten von einem infizierten System kommen und daher manipuliert sein können! Es ist möglich, dass Daten verfälscht oder so manipuliert wurden, dass sie beim Öffnen den Rechner gleich wieder zu infizieren versuchen!

Prüfen Sie die Daten vor der Übernahme daher sehr sorgfältig auf mögliche unerwünschte Nutzlasten. Im Zweifel sollten Sie lieber auf eine Datei verzichten und Sie neu erstellen. Falls Sie bei absolut unverzichtbaren Dateien eine Verseuchung nicht mit Sicherheit ausschließen können, nutzen Sie die Dienste eines spezialisierten Sicherheitsexperten, der die Datei analysiert und Ihnen die Unbedenklichkeit garantieren kann.

Alte Daten können noch infiziert sein und müssen sehr sorgfältig geprüft werden, bevor Sie auf das neue System gespielt werden!

13. Der Morgen danach

Nun läuft Ihr PC wieder wie gehabt. Aber damit ist der Fall noch nicht abgeschlossen. Folgende Dinge sollten Sie unbedingt beachten.

13.1. Daten können an Unbefugte gelangt sein

Alle Daten, die auf dem infizierten PC gespeichert waren, müssen als öffentlich bekannt angesehen werden. Das gilt für Ihre privaten Dokumente genau so wie für Passwörter, die PIN und TANs für das Onlinebanking, Kreditkartendaten, Bankverbindungen und ihre Anmeldedaten für verschiedene Webseiten. Handeln Sie entsprechend und vergeben Sie ggf. neue Kennwörter, informieren Sie Betroffene, deren Daten auf Ihrem PC gespeichert waren, über den Vorfall und prüfen Sie Ihre Kontoauszüge in den nächsten Monaten besonders sorgfältig.

13.2. Backup-Strategie überdenken

Hatten Sie eine aktuelle Datensicherung, um schnell wieder zu einem lauffähigen System zu kommen? Hat damit alles so funktioniert, wie Sie es sich erhofft hatten? Gibt es vielleicht Dinge, die Sie anders machen können, um es bei zukünftigen Infektionen leichter zu haben?

13.3. Sicherheit prüfen

Wie konnte der Schädling auf Ihren Rechner kommen? Was können Sie in Zukunft besser machen? Wie Ihre Daten besser vor fremden Zugriff schützen? Wenn Sie einen Fehler gemacht haben, ist das ja nicht schlimm, das passiert jedem Mal. Aber man sollte dann schon aus seinen Fehlern lernen und sie zukünftig nicht mehr wiederholen.

13.4. Bereit sein ist alles

Natürlich hofft jeder, dass die eine Infektion, mit der man sich gerade herum geplagt hat, die letzte sein wird. Aber früher oder später passiert es vielleicht doch wieder. Wenn man für solche Fälle gleich ein aktuelles Rettungssystem und alle Windows-Patches (siehe oben) zur Hand hat, geht alles viel schneller. Man kann auch überlegen, von dem gerade frisch eingerichteten Betriebssystem ein Image zu erstellen, welches man dann im Falle einer Infektion einfach wieder zurück spielen kann.





Dieser Text basiert auf den Anleitungen von Oliver Schad und Jürgen P. Meier.